Техническое задание на закупку услуг по разработке и внедрению Внутреннего информационно-новостного портала Mycr для нужд ООО "coscom"


Download 224.1 Kb.
bet5/8
Sana17.06.2023
Hajmi224.1 Kb.
#1527235
TuriТехническое задание
1   2   3   4   5   6   7   8
Bog'liq
ТЗ MyCR 2.0

Удобный инструмент для поиска информации в портале.

  1. Сроки выполнения работ


Срок выполнения услуг по разработке и внедрению – не более 3-х месяцев, с момента получения предоплаты.

  1. Требования по безопасности


  • Должна быть задокументирована высокоуровневая архитектура приложения

  • Все меры безопасности (включая библиотеки обращающиеся к сервисам безопасности) должны быть применены централизованно.

  • Все данные должны хранится на серверах компании

  • Компоненты приложения должны быть сегрегированы друг от друга с помощью определенных мер безопасности, к примеру сетевой сегрегации, правил на файерволах, и т.д.

  • Приложение должно быть четко разделено на уровни между уровнем данных, контроля и вывода данных, таким образом, что решения относительно безопасности могут быть внедрены на системах с определенным уровнем доверия.

  • В коде на стороне клиента не должна храниться информация о бизнес логике, секретных ключах или другой запатентованной информации.

  • Все компоненты приложения, библиотеки, модули, фреймворки, платформа и операционные системы не должны иметь известных уязвимостей, а также должны проходить постоянное обновление.

  • Все страницы и ресурсы для доступа должны требовать аутентификацию, за исключением тех, которые предназначены для общего доступа.

  • Приложение не должно заполнять информацию об учетных записях автоматически, либо как скрытые поля, аргументы в URL, запросы Ajax, или в формах, т.к. это подразумевает передачу в открытом тексте, обратимом или подверженном дешифрации методе хранения. Одноразовый код, ограниченный по времени допустим в качестве подстановки, для защиты формы смены паролей

  • Все контроли аутентификации должны применяться на стороне сервера

  • Все функции идентификации учетной записи (к примеру обновления профиля, смена забытого пароля, выключение / утеря токена, и т.д.), которые помогают заново получить доступ к учетной записи, должны быть как минимум устойчивы к атакам, как и основной механизм аутентификации приложения.

  • Функционал по смене пароля должен включать подтверждение старого пароля, ввод нового пароля с его подтверждением.

  • Пароли учетных записей должны хэшироваться с помощью односторонних функций с использованием “соли”, а также должен быть учтен фактор требуемых временных затрат на перебор паролей или попыток проведения атак на поиск аргументов односторонних функций.

  • Все страницы/функции должны использовать шифрованные каналы передачи данных,

  • Функция смены забытого пароля и другие пути его восстановления не должны открыто показывать действующий пароль.

  • Вся информация учетных записей, имеющая отношение к аутентификации для доступа внешних для приложения сервисов, должна быть зашифрована и хранится в защищенном хранилище

  • Забытые пароли и другие пути их восстановления должны использовать одноразовые пароли или любые другие токены, оповещения на мобильном телефоне, или другие автономные средства восстановления.

  • Должна быть предусмотрена возможность аутентификации при помощи интеграции с Активной Директорией оф Майкрософт.

  • Административные интерфейсы не должны быть доступны для не доверенных сторон.

  • Сессии должны становиться недействительными после выхода пользователя.

  • Сессии должны становиться недействительными после определенного периода бездействия

  • Все страницы для которых требуется аутентификация должны иметь легко и визуально доступный функционал для выхода из приложения.

  • Идентификатор сессии никогда не должен разглашаться в составе URL, сообщениям об ошибках, или логах. Это требование также включает подтверждение того, что приложение не поддерживает возможность перезапись сессионных куки через URL

  • Все успешные попытки новой или повторной аутентификации должны генерировать новую сессию и новый идентификатор сессии

  • Только идентификатор сессии, сгенерированный приложением должен распознаваться приложением как активный.

  • Идентификатор сессии должен быть достаточно длинным, случайным и уникальным во всей базе активных сессий

  • Идентификатор сессии, хранящийся в куки должен иметь путь, установленный в адекватно ограниченном значении для приложения, и токены сессий аутентификации должны иметь флаги “HttpOnly” и “secure”

  • Доступ к конфиденциальной информации должен быть защищен, таким образом пользователю доступны только авторизованные объекты или данные (к примеру, защита от изменения пользователем параметров для просмотра или изменения учетной записи другого пользователя)

  • Все события изменений в приложении должны заноситься в журнал событий

  • Приложение или его структура использует устойчивый и случайный токен для предотвращения межсайтовой подделки запроса или предоставляет другой механизм защиты транзакций.

  • Приложение должно быть устойчиво к основным типам атак, а также проходить постоянное обновление в случае выявления новых методов или типов атак на приложение.

  • Проверки ввода данных должны проходить на стороне сервера

  • Все вводимые данные должны проверяться, включая источники ввода данных (к примеру, REST запросы, параметры запросов, заголовки HTTP, пакетные файлы, RSS источники и т.п.) с использованием позитивных проверок (белые списки), затем менее предпочтительных форм проверок, таких как серые списки (устранение известных плохих запросов), или отказ в обработке вводимых данных (черные списки)

  • Структурированные данные должны строго проверяться на соответствие определённой схеме, включая разрешенные символы, длину и шаблон (к примеру, номер банковской карты или телефона, или проверка соотносящихся полей, к примеру совпадение номера почтового индекса с адресом)

  • Неструктурированные данные должны проходить проверку для обеспечения мер безопасности, включая разрешенные символы, длину, также символы потенциально опасные для работы должны исключаться исходя из контекста (к примеру, имена в кодировке Unicode или апострофы, как-то ねこ или O'Hara)

  • Криптографические алгоритмы, используемые приложением проверены на соответствие адекватному стандарту, к примеру, AES и т.п.

  • Конфиденциальная и личная информация должна храниться в зашифрованном виде.

  • Приложение не должно выводить конфиденциальную информацию, помогающую злоумышленнику, в сообщениях об ошибках или данных отслеживания стека, включая идентификатор сессии, версии приложения или его структуры, а также личную информацию

  • Каждое событие в журнале должно включать необходимую информацию для детализированного расследования событий по времени их происхождения.

  • В соответствии с законодательством, приложение не должно журналировать конфиденциальную информацию и личную информацию, или информацию, которая может помочь злоумышленнику, включая идентификатор сессии, пароли, хэши или токены API

  • Все формы содержащие конфиденциальную информацию отключают возможность кэширования на стороне клиента, включая функционал авто-заполнения полей.

  • Все конфиденциальная информация отсылается через основное сообщение HTML или его заголовок, таким образом информация не передается через URL.

  • Доступ к данным должен журналироваться, если данные находятся под защитой законодательства или там, где это необходимо.

  • Для всех каналов передачи данных (внешних и внутренних) используемых для аутентификации или передачи конфиденциальной информации или функций используется TLS, а также существует отказоустойчивость с учетом требований безопасности, таким образом предотвращая использование нешифрованных каналов.

  • Все подключения ко внешним системам, которые имеют отношение к конфиденциальной информации или функциям должны быть аутентифицированы

  • Приложение должно принимать только определенный набор требуемых методов HTTP запросов, к примеру, GET или POST принимаются, а не используемые методы (TRACE, PUT, и DELETE) явно заблокированы

  • Заголовок X-FRAME-OPTIONS должен использоваться для сайтов где контент не должен просматриваться в X- Frame третьей стороны.

  • Все ответы API содержат X-Content-Type-Options: nosniff и Content-Disposition: attachment; filename="api.json" (или другое имя файла в зависимости от контента)

  • Политика безопасности контента (CSPv2) настроена для помощи в устранении общеизвестных DOM, XSS, JSON и JavaScript инъекций-уязвимостей.

  • Заголовок X-XSS-Protection: 1; mode=block должен применяться для применения фильтров браузера для отраженных XSS атак.

  • Файлы полученные из не доверенных источников должны проверяться на совпадение ожидаемого типа файла и сканироваться антивирусным ПО для предотвращения загрузки общеизвестного вредоносного контента

  • Файлы, полученные из не доверенных источников должны храниться вне корневого каталога веб ресурса, с ограниченными разрешениями, а также предпочтительно с усиленными проверками.

  • Код приложения не должен исполнять файлы, полученные от не доверенных источников.

  1. Download 224.1 Kb.

    Do'stlaringiz bilan baham:
1   2   3   4   5   6   7   8



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling